Malam tadi kami, seperti hampir setiap laman web lain di Internet, menerbitkan sebuah kisah tentang pepijat keselamatan OpenSSL yang sangat besar dan berbahaya yang dipanggil Heartbleed. Bug ini meninggalkan sebahagian besar Internet terbuka untuk penggodam berniat jahat untuk mencuri log masuk, kad kredit, dan kunci penyulitan. Pada asasnya laman web yang menyangka mereka melindungi data pengguna dengan menyulitkan ia tidak melakukannya, tanpa kesalahan mereka sendiri, selama lebih dari dua tahun.
Potensi untuk membahayakan adalah data yang disulitkan dan kunci kripto untuk membuka kunci data tersebut
telah dicuri dari pelayan. Peranti anda tidak terjejas secara langsung. Perisian dan perkhidmatan yang anda gunakan mungkin bersambung dengan pelayan yang mungkin terjejas dengan mendedahkan data anda. Bug Heartbleed tidak meninggalkan kesan dalam log supaya tidak ada cara untuk mundur dan memberitahu sama ada laman web telah terjejas atau tidak. Maklumat baru hari ini mengatakan bahawa lebih 500,000 pelayan telah terjejas.
Patch telah dikeluarkan, tetapi pengguna Internet diberitahu untuk mengambil langkah berjaga-jaga dan menukar kata laluan atau bersedia untuk. Ada satu tidak rasmi senarai tapak yang terjejas dan tapak tidak dipengaruhi oleh GitHub. Terdapat juga pemeriksa tapak di mana anda boleh memasukkan maklumat tapak untuk menguji jika ia terjejas atau tidak.
Yahoo, OKCupid, Ars Technica, dan Tumblr telah memberitahu pengguna untuk mengambil langkah berjaga-jaga dan menukar kata laluan selepas menambal laman web mereka. Walaupun saya tidak menerima e-mel secara peribadi daripada Yahoo.
Apa yang boleh anda lakukan untuk mengelakkan Heartbleed?
- Imbas senarai tidak rasmi untuk tapak yang anda lawati. Ia pastinya bukan senarai lengkap.
- Elakkan log masuk ke tapak yang terjejas sehingga semua yang jelas telah dihantar.
- Hubungi perniagaan (seperti bank) yang anda gunakan dan tanya jika ia terjejas dan diberitahu apabila perkara-perkara itu jelas lagi.
- Bersedia untuk menukar log masuk anda. Tetapi jangan buat perubahan sehingga tapak telah ditambal. Anda harus memberi keutamaan kepada akaun e-mel dan akaun bank dan kewangan.
- Jika anda menjalankan penyemak imbas Chrome, pasang Chromebleed Checker. Pelanjutan berjalan di latar belakang dan akan muncul amaran jika tapak terjejas. GottaBeMobile.com tidak terjejas.
- Beri perhatian kepada akaun kewangan selama beberapa minggu atau lebih untuk melihat sebarang aktiviti yang tidak biasa.
Seperti biasa ambil langkah berjaga-jaga yang anda rasa perlu. Jenis-jenis cerita ini biasanya dibentangkan dalam tempoh masa dan kami akan menghantar kemas kini seperti yang kita ada. Terdapat bacaan yang baik pada Bug Heartbleed, OpenSSL dan lebih lagi di sini dan di sini.